Avast detect internet cafe client software as threat Win32:Malware-gen

Viruses and worms
1

Im just new here on the forum,i use a internet cafe software NCAFE for 8 years with no problem with avast antivirus software untill 2/11/2011 all my pc’s were kicked out and removed of the internet cafe client software and been found as a High threat Win32:Malware-gen
even i use exclusion Avast antivirus see the software as a threa, is there any solution for this problem? ???

Any help would be thankfull

2

Check here: http://www.isthisfilesafe.com/sha1/AD2E5153E19195E85B710B3B91ED991D747AF13D_details.aspx
Product: Ncafe
Company: (Empty Value)
Description: Ncafe Server
Version: 1.9.15.3 *1
MD5: B90E9022B141E8A1FF744E363B4FC1D9 *1
Size: 578560 *1
Directory: %SystemDiskRoot%\Ncafe\Ncafes.exe *1
Operating System: Windows XP
Check your MD5 has here: http://www.isthisfilesafe.com/67_md5.aspx
Nothing found here: http://r.virscan.org/d3016546da3b34e8f185ef030aac36ad

polonus

3

Hoi Polonus,

Ik denk dat we verder in het nederlands kunnen communiceren.

Even voor de duidelijkheid,met de Ncafe server heb ik geen problemen op de Master pc.
het probleem is met de Ncafe client software ,heb net bij snong.com een nieuwe download gedaan en die heb ik getest zie link:
http://r.virscan.org/report/e9ce676382c91334b9f1082185412c65.html

De pc’s staan in thailand ,heb ondertussen ook hier in NL de Ncafe client software getest met dezelfde avast virusscanner maar moet de scanner uitzetten voordat ik het gedownloade bestand kan extracten met winzip. als ik dat niet doe dan word het bestand direct verwijderd door avast.

Kan momenteel de software gebruiken maar zodra ik avast laat scannen,word die gezien als een threat,dan move to chest en dan is het programma verwijderd van de client pc.

4

Ha idutchy,

Prima. Wat je zou kunnen doen is deze vondst te rapporteren aan avast als een mogelijke FP (vals positief). Gezien de aard van het programma dat je draait en waarschijnlijk mede de gebruikte protectie wordt het door verscheidene scanners gezien als potentiële malware dat keylogt en wachtwoorden opslaat. In alle gevallen is de detectie generiek en dat maakt de kans op een FP inderdaad groter, ondanks het feit dat meerdere scanners alarm slaan.

De ClamAV aanduiding PUA.RAT.VNC-13 wijst daar dan ook op.

Gooi anders de executable is door Anubis op http://anubis.iseclab.org/ en geef de link hier naar die analyse.

Tot dat je FP gefixed wordt via een volgende update of wordt bevestigd als toch voorzien van kwaadaardige code, zou je het programma op de avast uitzonderings lijst kunnen zetten. Maar die laatste beslissing is echt helemaal aan je zelf, want of dat gerechtvaardigd is, dat kan ik echt van hieruit niet vaststellen.

Ik hoop in ieder geval dat je probleem snel zal zijn opgelost en dat het inderdaad een valse positief of een PUP detectie blijkt te zijn,

groetjes van

polonus

5

hoi Polonus,

Hierbij de Anubis report link:
http://anubis.iseclab.org/?action=result&task_id=1a37c2104d40c3c04e54a9f466bf3b568&format=html

Heb ondertussen het Ncafe client programma bij exclusions toegevoegd,dat werkt maar zodra je gaat scannen komt de threat weer tevoorschijn.Of is er nog een andere uitzonderingslijst?

vrgr.Leo
idutchy

6

Ha idutchy,

Je moet de beschermingsconsole openen (bovenste optie als je rechtsklikt in de systray).
Dan selecteer je het standaard schild, en klik op aanpassen. Via het tabblad geavanceerd kan je bestanden uitsluiten voor real-time scans.

Je Anubis scan maakt ons FP scenario nog weer wat aannemelijker, want: “No threats could be detected by Anubis” oftwel “Anubis heeft geen bedreigingen kunnen vinden”.
Dit was waarschijnlijk het GFI zandbak scan rapport dat alle gedoe aan de gang bracht, zie hier: http://xml.ssdsandbox.net/view/2e0be531c9fa5e39fa288bded024da34

Succes,

polonus

7

Hoi Polonus,

Bedoel je bij Bestandsysteemschild > expert instellingen > scan bij uitvoering
daar staan er 3 gemarkeerd,indien bij geavanceerd zie ik niet welke ik zou moeten unmarken van de 3 ,graag uw advies ::slight_smile:

bij voorbaat dank

vrgr.
idutchy

8

Hoi idutchy,

Ja, ga naar bestandsysteem → schildinstellingen en → uitsluitingen en tik R, W en X aan, dan klikken op toevoegen,
Hebt U een mailtje gestuurd naar virusATavast.com (AT=@) met verwijzing naar deze draad? Doet U dat dan voor een snellere oplossing van de vals positieve detectie.

m.vr.gr.

polonus

P.S. Voor algemene info over avast FP’s lees deze tut van RejZoR:
http://forum.avast.com/index.php?board=2;action=display;threadid=7779

D

9

Hoi Polonus,

Bedankt tot zover voor je goede advies,ik heb de software in een Zip bestand naar avast verzonden,met vermelding over het probleem,ik hoop dat er snel een update komt voor deze false positive.
Tot dan zal ik de pc’s aanpassen zoals in je bericht beschreven.

vrgr.
Leo
idutchy

10

Hoi Polonus,

Avast heeft snel gereageerd en is met een VPS opgelost! heb alle pc’s nagekeken en alles is OK!

Nogmaals dank,en mijn complimenten voor de goede hulp! :smiley:

vrgr.
Leo
idutchy

11

Hoi idutchy,

Fijn dat alles weer goed draait en de zaak is opgelost. Daar doen we het ook allemaal voor.
Het beste en blijf veilig internetten,

polonus